基于动态模糊测试和机器学习的智能合约漏洞检测方法

智能合约的出现和发展拓宽了区块链的应用场景和现实意义,但频繁的安全事故给区块链的发展带来了障碍。但是,智能合约漏洞进行完备性和安全性分析的方法仍未被提出。当前对于智能合约的安全保障主要依靠专家审计和人工复查,该方式不能保证代码的绝对安全。针对智能合约漏洞挖掘的误报率、低效能等问题,在动态模糊测试和机器学习方法的基础上,提出一种适用于智能合约漏洞的检测方法与模型。该方法提高了智能合约漏洞挖掘的自动化程度和准确性。     

基于防御规则探测的XSS漏洞检测工具的设计与实现

非常多的开发人员面对测试工具扫描出的XSS漏洞的修复办法是在过滤规则中添加工具的PoC用例,导致在回归测试中通过测试工具的扫描但并未真正修复漏洞。通过对常见I型和II型XSS防御办法的研究,提出通过针对系统已有的防御规则的自动探测,动态构造XSS测试用例的技术,并在原型系统上进行验证。实验表明,该方法在回归测试的检测中能有效发现漏洞。     

基于软件测试的软件质量分析研究

根据ISO/IEC9126的原则和要求,分析软件测试时,按照软件自身特点对软件进行质量评价的可行性方法.分析代码度量与软件质量属性的相关性;推荐代码度量数据的收集方法和收集元素;最后以Rayleigh模型为例,说明收集代码度量数据在动态基于时间关系的软件缺陷预测评估中的应用.     

一种改进的Web应用越权漏洞自动化检测方法研究及实现

随着计算机技术与信息产业的高速发展,Web应用系统在多方领域都得到广泛的应用。为了弥补传统商业软件对于Web应用越权漏洞检测能力的不足,针对越权漏洞的检测方法做了深入研究,提出了一种改进的越权缺陷漏洞检测方法,并使用脚本语言实现针对该漏洞的自动化检测。     

即时通讯软件Secret的数据提取方法研究

Secret软件是境外一款基于区块链技术的社交类APP.由于该APP的数据不存储在本地,所以无法直接通过常规方式提取数据.通过分析Secret软件的功能及特性,从移动终端禁止联网的情况和可以联网的情况两个方面提取数据出发,介绍了四种提取数据的方法,之后通过具体案例的数据提取对提取方法进行了验证.     

基于“网防G01”及大数据技术的网站安全风险监测系统设计与应用

现有的政府互联网站安全监测手段多为针对网站的漏洞扫描系统,通过多年的应用,此类手段的缺陷在于:漏洞数据仅能体现信息安全的单一维度,存在不少漏洞较多的网站,由于其数据资产价值较低,往往不会成为攻击者攻击破坏的对象。因此,仅仅通过漏洞扫描系统,无法全面反应政府网站安全状态,只有通过对由资产、威胁、漏洞三者共同构成的风险概念的监测,才能全面地反应被监测网站的信息安全状态。通过利用"网防G01"系统及漏洞扫描平台获取的被监测网站的威胁数据和漏洞数据,形成了对被监控系统较为全面的风险监控。经实践应用,系统能够直观地反应被监测网站的风险状态,为主管单位对大规模网站进行安全监管提供了便利的技术手段。     

内部控制缺陷对审计收费影响的文献综述

正内部控制缺陷,是内部控制在计划或者是运行中存在的欠缺和漏洞。进入21世纪,随着美国国会通过SarbanesOxley Act法案(简称SOX法案)、中国财政部《内部会计控制规范——基本规范》《企业内部控制配套指引》发布,国内外学者就内部控制缺陷和审计收费的相关性进行了广泛研究,取得了丰富的实证成果。研究主要集中在内部控制缺陷及其被披露,内部控制缺陷的类型、程度以及修正对审计收费的影响作用等方面。     

析虚开增值税发票的有关问题及侦察方法

新税制出台后,犯罪分子为牟取暴利,瞄准制度漏洞和管理缺陷,利用巧妙的作案手法和"技术"处理,大量虚开增值税专用发票,严重危害国民经济。文中针对该类犯罪案件的作案手段、特点,结合我国目前面临的侦办该类案件时的一般困难,提出了预防和减少该类犯罪的几点建议。     

基于ATT&CK的主机安全监测实践

分析研究了ATT&CK框架中的攻防技战术,并对攻击者使用的高频技术Top 20涉及的具体程序、命令及脚本文件进行了研究。通过研究当前网络安全业界的ATT&CK实践,提出一种通过监控系统核心命令和程序监控文件访问权限的监测跟踪方法。此方法的创新点在于能够监测ATT&CK框架中入侵攻击的主要攻击手段,发现绝大部分入侵应用服务器的攻击者行为,在零日漏洞攻击监测方面具有较高的应用价值。     

建设工程项目中腐败现象的根源及预防措施

目前,建设工程项目中的腐败现象比较严重。工程项目管理中的漏洞使不法分子牟取暴利成为可能。必须加强制度预防、技术预防、监督约束预防和干部队伍的思想教育等措施以杜绝腐败。     

基于函数映射的恶意程序逆向取证方法研究

恶意程序的静态逆向分析方法需要取证人员阅读大量汇编源代码,取证周期漫长、效率低下,不能满足公安工作实际需要。提出一种基于函数映射的恶意程序逆向分析方法,首先取证人员分析恶意程序调用了哪些系统函数,之后初步判断恶意程序主要功能,再通过关键函数断点设置来进一步完成取证分析工作。这种方法不需要取证人员完整阅读汇编代码,通过关键函数局部汇编代码分析来完成取证工作,在提高取证效率、缩短取证周期的同时,最大限度地保证检验结论的准确性和完整性。     

安卓APK代码安全保护技术研究

安卓手机越来越普及,运行的App数不胜数,鱼目混珠。手机安卓App存在诸多风险:轻易被反编译,轻松被克隆仿制,核心代码和协议不知不觉被人拿走分析,严重恶性软件还是诈骗侵财的帮凶等等。详细描述了安卓应用安卓包APK(Android Package)反编译的过程,从源码到资源全部透明暴露在恶意者面前。第二部分给出了目前代码安全保护的几种方法,着重加强开发者安全意识。最后给出如何利用第三方安全平台对APK进行系统性反逆向的整体解决方案,使得开发者不再为此感到无所适从。     

补丁管理技术在网络安全中的应用

软件补丁是指一种插入到程序中并能对运行中的软件错误进行修改的软件编码,它是漏洞被发现时由软件开发商开发和发布的。安装软件补丁是保障网络安全和迅速解决小范围软件错误的有效途径。     

智力信息产品的归责原则研究——以软件为例

软件存在缺陷导致损害,其提供者是否应当承担类似于有形物质产品责任的严格责任？这是一个值得研究的问题。严格责任扩展到新领域既不符合产品责任法的发展趋势,又会给软件组件供应商带来大量新的问题。严格责任仅仅适用于制造缺陷,对于设计缺陷以及警示缺陷被告应该承担过失责任。在现有技术状况下,软件属于应受严格责任豁免的产品类别。过失标准应该成为智力信息产品的归责依据。     

物联网系统安全检查与评估研究

分析了物联网系统中存在的风险漏洞及安全威胁,研究了物联网安全漏洞库的建设和维护方法。从系统集成化安全管理检查、风险评估和漏洞库建设三个方面对物联网系统的安全检查和评估提供支撑。     

论航班合理延误下之责任承担问题

面对当前国内外的有关航班合理延误的立法和相应政策存在漏洞和缺陷的情况下,提出一些建议以缓解矛盾促进民航业的健康发展。     

污染源自动监控信息交换标准体系研究

阐述了建立污染源自动监控信息交换的标准规范体系的意义和作用;概述了国内外各行业领域信息化工程在数据交换标准方面所做的大量工作与现状:介绍了污染源自动监控相关标准的内容与功能;提出了污染源自动监控数据交换标准体系的框架,包括基础代码、格式、内容、技术以及管理规范,以及通过完善体系、借助国家环境信息与统计能力建设项目搭建的...     

高校教师课时费计算与查询系统的设计

本文介绍了运用数据库技术设计的课时费计算与查询系统,分析了系统功能特点、数据库设计和部分代码设计。     

启明星辰发现Windows迄今最为严重的安全漏洞

7月25日,启明星辰信息技术有限公司分析并验证了迄今为止Windows最为严重的安全漏洞。 此漏洞存在于所有Windows2000、Windows XP、Windows 2003Server系统中,黑客(或攻击者)可     

移动警务H5轻应用签名验签机制的研究与设计

应用签名验签机制可对应用安装包或更新包进行来源性检查和完整性验证,移动警务应用上线的安全要求规定仅允许安装通过验签认证的应用。通过对HTML5轻应用的程序结构、代码构成进行分析研究,设计了一套基于移动警务HTML5轻应用的签名验签机制。该机制对JavaScript源代码进行语法分析和词法分析,设置多种安全防护策略,保证应用的合法性、合规性与安全性,从而为构建移动警务应用安全体系提供建设性参考。